网络安全中一直在追寻的溯源能力到底是如何理解?为什么需要溯源能力?做个科普

最新推荐文章于 2024-01-06 13:24:57 发布
最新推荐文章于 2024-01-06 13:24:57 发布
阅读量513 收藏
点赞数
文章标签: web安全 安全 网络 安全威胁分析 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jasonzhang345/article/details/132796354
版权

    溯源是指探明定位恶意行为的路径来源,发起者身份等信息,目的是为了更好的去进行行为的追踪和确认,能够精准定位到“人”。当前我们理解的恶意行为主要是两种类型,也就是针对网络信息系统的恶意行为和利用网络信息系统的恶意行为。简单理解就是我要利用系统还是要破坏系统的意思。对,其实我们已经有很多实际的例子,比如像针对网络信息系统的恶意行为,对新系统进行侦查渗透,扰乱破坏,最常见的就是像d道s攻击,让你这个服务没法正常使用,这是针对于系统本身而言,那另外一个维度的,那就是通过系统我去得到什么,比如说像数据的窃取,泄露。当前我们非常火热的个人隐私的一些灰产买卖等等。

    没有溯源会造成的一些威胁主要是什么呢?缺乏恶意行为的溯源能力在发生威胁或者是破坏的情况下,几乎没办法去进行实时追踪和定位,这会让违法者逍遥法外,伤害的是网络空间安全,损害的是网络空间上的利益。这个说到比较代表性的,就是当前比较火的勒索病毒勒索软件,因为它的隐蔽性,分散性和不确定性,导致了在整个过程中溯源难,无法进行精准有效的追踪,也就没法去遏制当前勒索的扩散。

    所以,溯源对打击遏制网络恶意行为具有非常重要的作用。在当前恶意行为非常猖獗的重要时期,没有,溯源,就给,当前网络匿名,或者部分的,水晶,提供了天然的保护屏障,让他们的行为,无法追查,最终也导致了网络恶意行为的操作者有恃无恐,铤而走险。溯源能力将有效的揭示恶意行为的行踪将有助于改变这种不利的局面,同时及时精准的溯源,也是响应网络恶意行为的重要一环,是决定后续行动的重要因素。

    其实,网络安全存在的同时,也就必然奠定了溯源能力的存在。目前,溯源能力也因为网络安全以及现有互联网环境的发展面临的一些相应的技术挑战。

    一,恶意行为轨迹选取效能与开销的平衡问题

    这个简单理解就是溯源在收集恶意行为轨迹的基础上,通过某种推理机制来进行,以目前推理的机制,我们主要是基于IP网络的信息系统,对它的行为记录和计算不足以支撑所原需要采取额外的手段留存恶意行为的轨迹,再通过其他外部的技术手段进行分析,这对系统本身是一种资源占用,所以在此就产生了一个资源平衡的问题。其次,当前溯源从现有技术上也逐步走向了AI人工智能化,但人为的介入程度相对还是比较高。通过这种方式才能够完成相对复杂的一些推理和分析,这就制约了在整个溯源过程中的时效性和效能。

    二,收集恶意行为痕迹时的权限不足和缺乏协同的问题

    我们做安全的人员都知道,为了保证安全,我们都是以最小权限去进行划分和管理,为了去追踪溯源,我们需要在网络上去进行一定的信息收取和改造,这就涉及到相应权限的问题,仅凭自身的能力难以完成对外部这一行为的精准溯源,特别是涉及到一些专项的应用场景,比如说运营商,互联网运营提供方,这就需要我不同的场景下,我成信息共享以及协同相关的机制才能保障网源的完成。

    三,网络基础设施对溯源技术支撑不足

    怎么理解这个意思呢,因当前我们主要是通过IP网络设计,在此基础之上没有原地址检验能力,因为IP网络目的是传输无法完全去进行有效的地址检验,比如说中间人劫持地址冒充等等。此外,当前网络还受限于IPV4的体制网段划分过宽,通过地址回溯往往无法定位到具体的设备,因为虚假IP往往只有单向通信功能,网络中充斥着大量的NAT设备,也对溯源工作造成了很大的困难。

    对此,我们相应的解决思路,其实当前当前已经在随着技术的演变而发生改变,我们这里面经常听到的行为轨迹,行为画像,关联分析,态势感知等等,都是基于此衍生出来的产品,就我个人而言,只是方向不同,展示不同,从底层考虑上有很多是有相似的基础的。

    目前的溯源技术可以分为两类,一种是在恶意行为劫持期间,通过某种措施进行溯源,包括特定的报文分析技术,日志记录溯源技术,链路测试溯源技术等。提到以上这几种类型,相信大家也基本有所了解,对于链路测试是溯源可能不太清楚,这里主要是通过场景测试的方式来进行攻击路径判断等。我们目前接触的比较多的一个是日志记录溯源,现有的日志分析系统已经相对比较成熟,除此之外是报文分析技术,我们了解的比较多的像科来,或是审计类厂家等。

    衡量溯源能力的指标主要有溯源所需的时间和溯源结果的精准度。溯源所需的时间只从检测并确认恶意行为,实施溯源行动开始到完成预定溯源目标所需的时间。目前在时间方面还没有做到实时或者是没有接近实时这一点。大家在hvv和各大重保等活动场景中已有发现,当前的技术日新月异,已经在追赶这一时间的实时目标。对于溯源结果的精准度,目前还没有明确的衡量指标,包括衡量方法。我们从现有的市面产品中可以看到,误报率一直存在,如何降低或者是规避误报是一直一直在一直在技术课题。相信通过广安人不断的技术进步,更新迭代,这个目标也必将实现。

以上整理的内容来源于《网络空间安全问题分析与体系研究》

【注:以上作者学习摘录,仅作为参考】

来源:安全壹壹肆 【关注公众号或是加入知识星球(安全114)】

声明:文章中部分展示图例来源于网络,版权并不属于作者

安全壹壹肆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全攻击溯源思路及案例
10-14 3万+
在攻防的视角里,进攻方会占据比较多的主动性,而防守方则略显被动,因为作为防守方,你永远也不知道攻击会在什么时候发生。你所能做的是,做好自己该做的一切,准备好自己该准备的一切,耐心等待对手犯错的机会。 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 1、攻击源捕获 ​ 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等​...
网络安全篇:IP溯源的原理及方法
m0_59162248的博客
07-04 4976
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。溯源方式:在攻击者入侵蜜罐时,蜜罐可以记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。溯源案例:样本分析过程,发现攻击者的个人ID和QQ,成功定位到攻击者。
网络安全溯源技术:追寻攻击源的关键步骤
diaobusi的博客
06-23 3424
网络安全防御溯源技术扮演着重要角色,它能够追踪和追溯恶意攻击的源头,帮助我们分析和应对网络威胁。漏洞利用分析:通过溯源技术,可以分析恶意软件利用的漏洞和攻击方法,并将相关反馈提供给系统管理员和软件开发者,以加强安全防护和修补漏洞。攻击追踪和溯源:通过溯源技术,可以追踪黑客攻击和其他网络攻击的源头和攻击者。恶意域名和钓鱼网站识别:溯源技术可以用于识别恶意域名和钓鱼网站,并及时采取相应的安全措施,以保护用户的信息和资产安全。通过追踪域名的注册信息和所有者,可以揭示攻击背后的黑手。二、溯源技术的实现原理。
网络安全护网溯源是什么?
vivlol918的博客
11-29 2872
溯源可以应用于多种场景,例如网络入侵调查、恶意软件分析、数据泄露事件、计算机犯罪等。其主要目标是通过收集和分析数字证据,找出攻击事件的起源、路径和影响,并对犯罪活动进行追踪。
网络安全攻防渗透之溯源
ta737的博客
09-18 1247
对于攻防演练蓝军的伙伴们来说,最难的技术难题可能就是溯源,尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程
做测试最高的境界是什么?
03-23
最高境界代表着极致,极致就是在已经达到非常好的时候还在不断的追寻:我还能做得更好么?如果持续这样做,在某个时候,一定会产生质的飞跃,让你跳出原有的框框得到柳暗花明的答案。这样的例子比比皆是:在人们找到...
追寻优秀基因系列之四:如何绘制基金经理学习能力曲线?_.pdf
11-20
能力强的基金经理会有较高的“持仓自信度”,即在擅长的板块持有较高比例的股票,同时具有较高的“板块胜率”,即在这些板块选择股票的盈利能力。 为了量化这些能力,报告定义了两个因子:持仓自信度和板块胜率。...
追寻优秀基因系列之五:基金经理个人特征因子在基金优选的应用.pdf
04-16
基金经理个人特征因子在基金优选的应用 本报告从基金经理角度切入,充分挖掘基金经理个人信息,依次从基本信息、教育背景、领导经历、研究经历、工作经历、获奖经历六个维度选取 17 个因子指标衡量基金经理个人...
HTML5vs.原生,世界究竟是谁的?
03-01
移动互联网未来的发展走向,没有人能够进行准确的预测,其存在很多变量。...HTML5在近两年里可算是出尽了风头,无论...但在此之前,当你准备开发一款应用时,切不可只一味的追寻别人所尊崇的技术,最重要的还是要搞清楚
网络安全】浅谈IP溯源的原理及方法
weixin_72368685的博客
03-30 3291
导读 没有进攻和威胁的被动防守,是注定失败的 关注全球威胁情报和学会网络攻击溯源是特别重要的 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 溯源思路 1、攻击源捕获 ​安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 ​邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 ​蜜罐系统,获取攻击者行为、意图的相关信
攻击路径溯源
m0_73803866的博客
10-09 777
攻击意图理解的含义是基于大规模、依赖复杂、跨长时间周期的原始日志、检测日志等基本数据线索, 从能力水平、攻击阶段、攻击目标等角度,取、标注、归纳攻击者的战术意图,以明确线索之间的高 层次逻辑关联,跟踪、预测攻击者的行为。
数据安全出境系列——数据追溯能力
Scgute88的博客
11-23 2652
数据溯源的方式可以分为五类:分别是文件溯源、事件溯源、标记溯源、水印溯源、邮件溯源。主要用来对通过邮件泄露敏感内容的事件进行反查,以发现归档的邮件正文、附件、多层嵌套文件、 图片等是否有人发送过违反公司规定的敏感内容。通过标签溯源,文件相关的信息都会呈现出来。文件溯源有两种方式,即基于文件自身信息溯源和基于标签溯源。通过文件溯源能力,我们可以清楚的看到,谁在什么时间通过什么样的方式,传输过该文件。文件MD5溯源基于数据防泄露(DLP)事件的标签文件的MD5,对检索到的DLP事件进行文件流转溯源的展示。
溯源(一)之溯源的概念与意义
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
03-20 2992
我们大家都知道护网,攻防演练,每年的护网在招聘的时候都分初级,级和高级,初级负责看监控设备,上报攻击流量,级是负责研判,通俗一点就是确定攻击是不是恶意的或者这个警告是不是误报,那高级就是负责溯源攻击的IP是来自哪里的溯源就是根据已有的线索,攻击方式以及攻击特征等通过技术手段反查攻击者身份或是组织信息,在我们日常接触的项目,也都需要我们去掌握这一项技能,比如客户的服务器出现了,我们需要去排查,去溯源漏洞或者病毒文件的位置,去保障客户的网络安全,是学安全方向上的人才必须掌握的一项技能。
网络安全学习篇之攻击溯源思路及案例
努力活着。
07-12 1万+
引言 在攻防的视角里,进攻方会占据比较多的主动性,而防守方则略显被动,因为作为防守方,你永远也不知道攻击会在什么时候发生。你所能做的是,做好自己该做的一切,准备好自己该准备的一切,耐心等待对手犯错的机会。 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 溯源思路及案例 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​ 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​ 服务器资源异常,异常的文件、账号、进程、端口,
对于网络攻击的追踪和溯源能力不足
最新发布
ZOMO的博客
01-06 837
*2. 数据安全与隐私保护难度加大:** 随着大数据时代的发展和信息化的加速推进,“数据主权”、“数据安全”和 “个人隐私权保障" 等话题日益受到关注。**1. 缺乏实时监控与管理工具:** 目前市场上的安全设备和管理软件虽然具有一定的防护功能,但在面临复杂多样的新型高级持续性威胁(APT)等情况下仍存在监测不到或识别速度慢等问题;要安装的服务器或虚拟机能够连接互联网的情况下可以通过以下命令自动安装,服务器或虚拟机不能连接互联网的请见下方的离线安装说明。识别并清除未被使用的策略,提高匹配速度;
DOS攻击与网络溯源技术
dwj_daiwenjie的博客
03-27 1万+
1.DoS攻击 DoS攻击(Denial of Service,拒绝服务攻击)通过消耗计算机的某种资源,例如计算资源、网络连接等,造成资源耗尽,导致服务端无法为合法用户提供服务或只能提供降级服务。在SDN网络的集式架构,控制器是天然的网络心,负责整个网络的管理和控制工作,很容易成为DoS攻击的目标。 1.1 SDN 网络下的 DoS 攻击 在OpenFlow网络架构,控制器是网络的核...
[网络安全自学篇] 七十四.APT攻击检测溯源与常见APT组织的攻击案例
热门推荐
杨秀璋的专栏
05-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WannaCry蠕虫的传播机制,带领大家详细阅读源代码。这篇文章将分享APT攻击检测溯源与常见APT组织的攻击案例,并介绍防御措施。希望文章对您有所帮助~...
网络安全学习之攻击溯源思路
shayebudon的博客
04-19 4616
溯源思路及案例 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​ 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​ 服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 ​ 邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 ​ 蜜罐系统,获取攻击者行为、意图的相关信息 2、溯源反制手段 IP定位技术 根据IP定位物理地址—代理IP ​ 溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息 ID追踪术 ​ ID追踪术,搜索引擎、社交平台.
网络安全威胁检测与威胁溯源_网络安全威胁2017 –如何保护您的网站
culin0274的博客
08-12 1349
网络安全威胁检测与威胁溯源For those of you who thought we were winning the battle against cybercriminals, think again. 2016 saw a huge increase in cyber-attacks, including the biggest attack in history which brou...
道是什么,人类也在追寻,这个是终极追求
04-03
。道是一个哲学概念,代表着一种本质上是超越人类认知的真理或存在方式。在不同的哲学和文化传统,道被解释为神、自然、智慧、真理、生命等等。 人类一直在追求道,是因为我们渴望理解生命的本质和存在的意义,寻找一种更高层次的认知和体验。这种追求可以表现为宗教信仰、哲学思考、科学研究、艺术创作等等形式。不同的追求方式都试图透过现象、表象,达到超越自我、洞见本质的境界。 虽然道是一个超越人类认知的概念,但人类仍然在不断地追求它,因为我们相信道的存在和意义,希望通过追求道来达到更高的境界和更深的智慧。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值